Brytyjski urząd ds. ochrony informacji (ICO) opublikował szereg wytycznych dotyczących stosowania przepisów NIS (czyli tego, co u nas zostało uregulowane w ustawie o krajowym systemie cyberbezpieczeństwa) – regulacji, która ma swoje źródło w unijnej dyrektywie w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tak, jest taka 😊 ).

Czego możemy się dowiedzieć z tych wskazówek ICO? I jak to się ma do polskiej ustawy o krajowym systemie cyberbezpieczeństwa?

1. Regulacje wynikające z dyrektywy dot. cyberbezpieczeństwa powinny być wdrożone m.in. przez przedsiębiorstwa świadczące usługi w postaci wyszukiwarek internetowych, sklepów internetowych i usług chmurowych (tzw. dostawców usług cyfrowych) dla klientów zewnętrznych. Nie dotyczy to jednak podmiotów, które są mikro i małymi przedsiębiorstwami (dokładnie tak jak w Polsce).

2. Jak sprawdzić, czy jesteśmy mikro lub małym przedsiębiorstwem? Prosto: jeżeli mamy więcej niż 50 pracowników lub obroty większe niż 10 mln Euro rocznie, nie jesteśmy mikro/małym przedsiębiorstwem. Jeżeli jesteśmy częścią grupy kapitałowej, bierzemy pod uwagę całą grupę!

3. Dostawcy usług cyfrowych powinni wdrożyć odpowiednie i proporcjonalne techniczne i organizacyjne środki aby zarządzać ryzykiem związanym ze stosowaniem systemów informatycznych (zupełnie jak w RODO).

4. Zabezpieczenia muszą obejmować bezpieczeństwo systemów informatycznych i urządzeń, reagowania na incydenty, nieprzerwane świadczenie usług, monitorowanie, audytowanie i testowanie systemów bezpieczeństwa oraz zgodność z międzynarodowymi standardami bezpieczeństwa.

5. Konieczne jest dokumentowanie tego, w jaki sposób realizujemy powyższe założenia (również tak samo jak w RODO).

6. Kary za naruszenie przepisów NIS w Wielkiej Brytanii mogą wynosić do 17 milionów funtów. W Polsce maksymalna kara to 1 milion złotych – przy czym naruszenia muszą się powtarzać).

7. Dostawcy usług cyfrowych są zobowiązani do powiadamiania właściwego organu (W UK – ICO, w Polsce – z reguły NASK) w przypadku incydentów bezpieczeństwa. W UK są na to 72 godziny, w Polsce – jedynie 24. Incydenty muszą być istotne – w przepisach mamy pewne wskazówki jak ustalić czy incydent jest istotny czy nie. Finalnie, to jednak my sami podejmujemy decyzję o istotności incydentu (zupełnie tak jak w przypadku naruszeń ochrony danych znanych z RODO).

Na końcu refleksja związana ze wdrożeniem regulacji dotyczących systemu cyberbezpieczeństwa, poczyniona przez brytyjski organ dot. ochrony danych. Jeżeli ktoś poprawnie wdrożył RODO, nie będzie miał wielkiego problemu z tym aby dostosować się do regulacji NIS. I dokładnie tak samo jest w Polsce – procedury będą wymagały jedynie delikatnej modyfikacji, nie radykalnych zmian. Zakładam, że właściwie wszyscy dostawcy usług cyfrowych przetwarzają dane swoich klientów lub użytkowników i musieli wdrożyć RODO. Do dostosowania się do ustawy o krajowym systemie cyberbezpieczeństwa muszą wykonać tylko mały krok.

Jeżeli chcesz dowiedzieć się więcej na temat ustawy o krajowym systemie cyberbezpieczeństwa, zapraszam tutaj.

#NIS #dyrektywaNIS #krajowysystemcyberbezpieczeństwa #bezpieczeństwodanych